Szkolenie z zakresu bezpieczeństwa informacji

Podobne dokumenty
II Lubelski Konwent Informatyków i Administracji r.

Przetwarzanie danych osobowych w przedsiębiorstwie

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Ustawa o ochronie danych osobowych po zmianach

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

ABI EXPERT+ Ochrona danych osobowych. Warsztat specjalistyczny. Zadania Administratora danych osobowych. Skuteczne narzędzie ADO

Szkolenie. Ochrona danych osobowych

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

Podstawowe obowiązki administratora danych osobowych

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

Ochrona wrażliwych danych osobowych

danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),

Ochrona danych osobowych

OCHRONA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MSZCZONOWSKA. Łukasz Zegarek 29 listopada 2016 r.

Zmiany w ustawie o ochronie danych osobowych

Obowiązki ADO. Zasady przetwarzania danych osobowych. Jarosław Żabówka IV Internetowe Spotkanie ABI

OCHRONA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Ochrona danych osobowych

Bezpieczeństwo teleinformatyczne danych osobowych

Określa się wzór zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stanowiący załącznik do rozporządzenia.

Ochrona danych osobowych

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Szkolenie otwarte 2016 r.

System bezpłatnego wsparcia dla NGO

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

Zarządzenie nr 101/2011

PolGuard Consulting Sp.z o.o. 1

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

REGULAMIN ZASAD OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ W KRAKOWIE

POLITYKA BEZPIECZEŃSTWA

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Zbiór danych osobowych Skargi, wnioski, podania

Jak stworzyć sprawny system ochrony danych osobowych? Łukasz Zegarek, ekspert ds. ochrony danych osobowych

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji 1) z dnia 11 grudnia 2008 r.

Przetwarzania danych osobowych

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Ochrona danych osobowych w biurze rachunkowym (cz. 3) - Czym jest przetwarzanie danych osobowych?

Od Wykazu do Rejestru. Zmiany zasad dokumentowania zbiorów danych osobowych. Maciej Kołodziej

Regulamin ochrony danych osobowych w Spółdzielni Budowlano Mieszkaniowej Powiśle w Warszawie


POLITYKA BEZPIECZEŃSTWA

Warsztat specjalistyczny

rodo. ochrona danych osobowych.

POLITYKA BEZPIECZEŃSTWA INFORMACJI I PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W PŁUŻNICY

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r.

ELEKTRONICZNA DOKUMENTACJA MEDYCZNA, A OCHRONA DANYCH OSOBOWYCH. dr Piotr Karniej Uniwersytet Medyczny we Wrocławiu

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

PROGRAM NAUCZANIA KURS ABI

Ochrona Danych Osobowych

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

OCHRONA DANYCH OSOBOWYCH. Administrator Bezpieczeństwa Informacji kom. mgr Piotr Filip

Przewodnik po ochronie danych osobowych : vademecum dyrektora i nauczyciela placówki oświatowej / Dariusz Skrzyński. wyd. 2.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Regulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku

Ochrona danych osobowych dla rzeczników patentowych. adw. dr Paweł Litwiński

Ochrona danych osobowych przy obrocie wierzytelnościami

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

Zwykłe dane osobowe, a dane wrażliwe

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

Podstawowe zasady przetwarzania danych osobowych:

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Zbiór danych osobowych Akcjonariusze spółki - księga akcyjna

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MISTRZEJOWICE-PÓŁNOC w Krakowie

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH NA UCZELNIACH WYŻSZYCH

Szkolenie podstawowe z ustawy o ochronie danych osobowych, w związku z realizacją zadań w zakresie przeciwdziałania przemocy w rodzinie.

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Polityka bezpieczeństwa przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

weryfikację prawidłowości zapisów dokumentacji zgodnie z ustawą o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz z późn.zm.

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

SZKOLNIE Z OCHRONY DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH W BIBLIOTECE J U S T Y N A J A N K O W S K A

Protokół kontroli problemowej przeprowadzonej w Urzędzie Gminy Łomża Ul. Skłodowskiej 1a, Łomża NIP , REGON

Polityka Prywatności portalu 1. Postanowienia ogólne

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

DYREKTORA PRZEDSZKOLA NR 42 IM. PRZYJACIÓŁ PRZYRODY W BIELSKU - BIAŁEJ Z DNIA 1 WRZEŚNIA 2014 ROKU

Transkrypt:

Szkolenie z zakresu bezpieczeństwa informacji

Plan prezentacji 1. Podstawowe pojęcia ochrony danych osobowych 2. Zasady przetwarzania danych osobowych 3. Obowiązki GIODO 4. Obowiązki Administratora Ochrony Danych 5. Obowiązki Administratora Bezpieczeństwa Informacji 6. Rejestracja zbioru danych osobowych 7. Rozporządzenie MSWiA ws dokumentacji przetwarzania danych osobowych 8. Norma ISO/IEC 27001 9. Norma ISO/IEC 27002 10. Zadania i procesy, jakie należy realizować w związku z ustawą o ODO

PODSTAWOWE POJĘCIA DANE OSOBOWE wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ustawy o ODO) [np. imię, nazwisko, nr PESEL]

Czy zdjęcie będzie daną osobową?

PODSTAWOWE POJĘCIA PRZETWARZANIE DANYCH OSOBOWYCH jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, (np. przechowywanie dokumentów w archiwum)

PODSTAWOWE POJĘCIA ZBIÓR DANYCH posiadający strukturę zestaw danych o charakterze osobowym oraz abstrakcyjnym (np. lista zatrudnionych pracowników)

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH 1. Zasada legalności Przetwarzanie danych osobowych musi odbywać się zgodnie z obowiązującymi przepisami prawnymi przede wszystkim musi być spełniona jedna z przesłanek legalności przetwarzania danych osobowych określona w art. 23 ust. 1 ustawy, a w przypadku danych wrażliwych ich przetwarzanie musi mieścić się w zakresie jednego z wyjątków wskazanych w art. 27 ustawy

2. Zasada realizowania zgodnego z prawem celu zbieranie danych osobowych dopuszczalne jest tylko dla realizacji oznaczonych, zgodnych z prawem celów dane nie mogą być poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,

przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: w celach badań naukowych, dydaktycznych, historycznych lub statystycznych (np. praca magisterska), z zachowaniem przesłanek legalności przetwarzania danych osobowych i stosownych obowiązków informacyjnych

3. Zasada poprawności i adekwatności przetwarzane dane muszą być merytorycznie poprawne, m.in. aktualne, stąd administrator danych zobligowany jest poinformować osoby, których dane przetwarza, o prawie dostępu do treści swoich danych i ich poprawiania zakres przetwarzanych danych osobowych musi być adekwatny w stosunku do oznaczonego celu i stanowić minimum konieczne do zrealizowania określonego celu (wymóg proporcjonalności /adekwatności/ to kluczowy wymóg w procesie przetwarzania danych osobowych)

4. Zasada ograniczenia czasowego dane nie powinny być przetwarzane dłużej niż jest to niezbędne dla realizacji określonych celów po zrealizowaniu celu, dla którego dane zostały zebrane, ich przechowywanie jest co do zasady dopuszczalne wówczas, gdy obowiązek przechowywania wynika z przepisów (np. akta pracownicze)

Przetwarzanie danych Zbieranie danych Udostępnianie danych Aktualność danych Rodzaj danych Adekwatność zbierania danych do celu ich przetwarzania Usuwanie danych Cel przetwarzania

DANE WRAŻLIWE dane ujawniające pochodzenie rasowe oraz etniczne (np. kolor skóry) dane ujawniające poglądy polityczne (np. poglądy lewicowe) dane ujawniające przekonania religijne oraz filozoficzne (np. wyznanie ewangelickie)

DANE WRAŻLIWE dane ujawniające przynależność wyznaniową, partyjną, związkową (np. SLD) dane o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym (np. spis palących pracowników) dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym

DANE WRAŻLIWE Zgodnie z art. 27 ustawy o ochronie danych osobowych co do zasady zabrania się przetwarzania danych wrażliwych. Istnieją jednak wyjątki od tej zasady.

Art. 27 ust 2 ustawy o ODO - Przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli np: Osoba, której dane dotyczą wyrazi zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych Przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dotyczą i stwarza pełne gwarancje ich ochrony Przetwarzanie dotyczy danych niezbędnych do dochodzenia praw przed sądem Przetwarzanie dotyczy danych podanych do wiadomości publicznej przez osobę, której dane dotyczą

DANE ZWYKŁE Art. 23 ustawy o ochronie danych osobowych przewiduje 5 przesłanek legalności przetwarzania danych osobowych. Są to: 1. Zgoda osoby, której dane dotyczą; 2. Prawo lub obowiązek wynikający z przepisu prawnego; 3. Realizacja umowy, gdy osoba której dane dotyczą jest jej stroną ; 4. Realizacja zadania publicznego; 5. Wypełnienie prawnie usprawiedliwionego celu.

Obowiązki Generalnego Inspektora ochrony danych osobowych (GIODO) GIODO to organ ochrony danych osobowych nadzorujący przestrzeganie przez administratorów danych przepisów o ochronie danych osobowych; Do jego obowiązków należy kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych;

Obowiązki Generalnego Inspektora ochrony danych osobowych (GIODO) Prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach; Wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych;

Kontrola GIODO 1. Inspektor dokonujący kontroli obowiązany jest okazać się imiennym upoważnieniem i legitymacją służbową (kontrolę może odbywać w godzinach 6 22). 2. Kierownik kontrolowanej jednostki jest obowiązany umożliwić inspektorowi przeprowadzenie kontroli, w szczególności: oględziny sprzętu i wyposażenia, przeglądanie dokumentów i wszelkich danych, oraz przesłuchiwanie wzywanych osób i przyjmowanie wyjaśnień.

Kontrola GIODO 3. W toku kontroli zbiorów uzyskanych w wyniku czynności operacyjno-rozpoznawczych inspektor przeprowadzający kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej. 4. Z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz doręcza kontrolowanemu administratorowi danych.

Kontrola GIODO 5. Protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść do protokołu umotywowane zastrzeżenia i uwagi. 6. W razie odmowy podpisania protokołu przez kontrolowanego administratora danych, inspektor czyni o tym wzmiankę w protokole, a odmawiający podpisu może, w terminie 7 dni, przedstawić swoje stanowisko na piśmie GIODO.

Kontrola GIODO skutki kontroli 1. Jeżeli inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, występuje do GIODO o zastosowanie odpowiednich środków. 2. GIODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych

ADMINISTRATOR DANYCH OSOBOWYCH To osoba fizyczna, prawna bądź jednostka organizacyjna bez osobowości prawnej, która decyduje o celach i środkach przetwarzania danych osobowych: Administratorem danych osobowych nie jest każdy dysponent tych danych, a tylko ten, kto decyduje o celach i środkach ich przetwarzania wyrok NSA (syg. II SA 1098/01).

ADMINISTRATOR DANYCH OSOBOWYCH Może powołać administratora bezpieczeństwa informacji (art. 36a ustawy o ODO) Spoczywa na nim szereg obowiązków związanych z przetwarzaniem danych osobowych, czyli: obowiązek informacyjny obowiązki związane z zabezpieczeniem danych, (np. uniemożliwienie dostępu do danych osobom nieupoważnionym)

ADMINISTRATOR DANYCH OSOBOWYCH obowiązek zgłoszenia zbioru danych do rejestru, wprowadzenie dokumentacji z zakresu przetwarzania danych (Polityka Bezpieczeństwa i Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych) i nadanie upoważnień do przetwarzania danych.

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI Administrator Danych Osobowych może powołać Administratora Bezpieczeństwa Informacji. Fakt powołania ABI podlega zgłoszeniu do ogólnopolskiego, jawnego rejestru prowadzonego przez GIODO. ADO może powołać także zastępców ABI (art. 36a ust. 6 ustawy o ODO). Dane o zastępcach ABI nie podlegają rejestracji. Zastępcy ABI muszą spełnić takie same wymogi, co sam ABI.

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI W przypadku niepowołania ABI to Administrator Danych Osobowych wykonuje, co do zasady, jego obowiązki (art. 36b ustawy o ODO). ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych (art. 36a ust. 7 ustawy o ODO )

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI Art. 36a ust. 5 ustawy o ODO ABI może zostać jedynie osoba, która: 1. posiada pełną zdolność do czynności prawnych 2. korzysta z pełni praw publicznych; 3. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; 4. nie była karana za przestępstwo umyślne.

OBOWIĄZKI ABI Art. 36a ust. 2 ustawy o ODO 1. Zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności: Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych

OBOWIĄZKI ABI Nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 oraz przestrzegania zasad w niej określonych Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; 2. Prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych

UPRAWNIENIE DO REJESTRACJI ABI GIODO prowadzi ogólnopolski, jawny rejestr administratorów bezpieczeństwa informacji Administrator Danych Osobowych może zgłosić do rejestracji Generalnemu Inspektorowi powołanie Administratora Bezpieczeństwa Informacji w terminie 30 dni od dnia jego powołania (art. 46b ustawy o ODO). Dane zawarte w zgłoszeniu powołania ABI do rejestracji: dane identyfikujące ADO dane identyfikujące ABI oświadczenie ADO

UPRAWNIENIE DO REJESTRACJI ABI Jeżeli ADO powołał ABI to może go również odwołać. W tym celu ADO musi zgłosić wniosek o odwołanie ABI, które powinien zawierać informacje o dacie i przyczynie jego odwołania. Odwołanie ABI powinno zostać zgłoszone GIODO w ciągu 30 dni od dnia zaistnienia tego faktu (art. 46b ustawy o ODO). Wzory zgłoszenia powołania i odwołania ABI stanowią załącznik do Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r.

OBOWIĄZEK REJESTRACJI ZBIORÓW DANYCH OSOBOWYCH Jeżeli Administrator Danych Osobowych nie powoła ABI, jest on zobowiązany zgłosić zbiór danych do rejestracji GIODO, z wyjątkiem 12 przypadków, o których mowa w art. 43 ust. 1 i 1a, m.in.

WYJĄTKI DOTYCZĄCE REJESTRACJI DANYCH Zawierające informacje niejawne Przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się

WYJĄTKI DOTYCZĄCE REJESTRACJI DANYCH Dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności Przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej

WYJĄTKI DOTYCZĄCE REJESTRACJI DANYCH Powszechnie dostępnych Przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego

WYJĄTKI DOTYCZĄCE REJESTRACJI DANYCH Przetwarzanych w zakresie drobnych bieżących spraw życia codziennego Przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane wrażliwe

ZGŁOSZENIE DO REJESTRACJI ZBIORU DANYCH OSOBOWYCH Zgłoszenie powinno zawierać wytyczne zawarte zgodnie z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, który stanowi załącznik do Rozporządzenia

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

Rozporządzenie określa: 1. Sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;

Rozporządzenie określa: 2. Podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; 3. Wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.

Rozporządzenie określa: 4. Jakie poziomy bezpieczeństwa infrastruktury informatycznej należy stosować w zależności od pewnych elementów jej architektury oraz w zależności od tego jakie dane osobowe są przetwarzane w systemach.

POZIOMY BEZPIECZEŃSTWA System jest podłączony z publiczną siecią telekomunikacyjną. POZIOM WYSOKI W systemie przetwarzane są dane wrażliwe. System nie jest podłączony z publiczną siecią telekomunikacyjną. POZIOM PODWYŻSZONY W systemie nie są przetwarzane dane wrażliwe. System nie jest podłączony z publiczną siecią telekomunikacyjną. POZIOM PODSTAWOWY

Na dokumentację, o której mowa w 1 pkt 1, składa się: Polityka bezpieczeństwa informacji Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej instrukcją". Dokumentację, o której mowa w 1 pkt 1, prowadzi się w formie pisemnej oraz wdrażane są przez Administratora danych osobowych.

Polityka bezpieczeństwa informacji (PBI) Polityka bezpieczeństwa, o której mowa w 3 ust. 1, zawiera w szczególności: 1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

Polityka bezpieczeństwa informacji (PBI) Polityka bezpieczeństwa, o której mowa w 3 ust. 1, zawiera w szczególności: 3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4) sposób przepływu danych pomiędzy poszczególnymi systemami; 5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych (IZSI) Instrukcja, o której mowa w 3 ust. 1, zawiera w szczególności: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych (IZSI) Instrukcja, o której mowa w 3 ust. 1, zawiera w szczególności: 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych (IZSI) Instrukcja, o której mowa w 3 ust. 1, zawiera w szczególności: 5) sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt 4, 6) sposób zabezpieczenia systemu informatycznego przed działalnością złośliwego oprogramowania

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych (IZSI) Instrukcja, o której mowa w 3 ust. 1, zawiera w szczególności: 7) sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4; 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

NORMA ISO/IEC 27001 To norma międzynarodowa standaryzująca systemy zarządzania bezpieczeństwem informacji. Została ogłoszona 14 października 2005 r. na podstawie brytyjskiego standardu BS 7799-2 opublikowanego przez BSI. W Polsce normę ISO/IEC 27001 opublikowano 4 stycznia 2007 r. ISO/IEC 27001 jest specyfikacją systemów zarządzania bezpieczeństwem informacji na zgodność z którą mogą być prowadzone audyty, na podstawie których są wydawane certyfikaty.

NORMA ISO/IEC 27001 W normie ISO/IEC 27001 wyróżniono jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji: Polityka bezpieczeństwa; Organizacja bezpieczeństwa informacji; Zarządzanie aktywami; Bezpieczeństwo zasobów ludzkich;

NORMA ISO/IEC 27001 Bezpieczeństwo fizyczne i środowiskowe; Zarządzanie systemami i sieciami; Kontrola dostępu; Zarządzanie ciągłością działania; Pozyskiwanie, rozwój i utrzymanie systemów informatycznych; Zarządzanie incydentami związanymi z bezpieczeństwem informacji; Zgodność z wymaganiami prawnymi i własnymi standardami.

NORMA ISO/IEC 27002 To międzynarodowa norma określająca wytyczne związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu zarządzania bezpieczeństwem informacji (SZBI)

NORMA ISO/IEC 27002 ISO 27002 jest próbą zgromadzenia i standaryzacji wytycznych w celu osiągnięcia takich korzyści, jak: utworzenie katalogu zabezpieczeń, który jest rozpoznawany na całym świecie, jako zaufany dla wielu organizacji, wyznaczenie miernika dającego możliwości ewaluacji SZBI, stworzenie meta standardu dającego możliwości odnoszenia się do niego przez różne regulacje branżowe.

NORMA ISO/IEC 27002 W celu osiągnięcia założonych celów, ISO 27002 identyfikuje 11 obszarów zabezpieczeń, 39 celów zabezpieczeń oraz 133 zabezpieczenia. Każde zabezpieczenie jest odpowiednio opisane wraz z wytycznymi do implementacji i wyjaśnieniem intencji jego stosowania. Standard wskazuje również, które zabezpieczenia powinny być ważne dla organizacji z legislacyjnego punktu widzenia, które zaś z punktu widzenia bezpieczeństwa informacji.

Podstawowe różnice pomiędzy ISO 27001 i ISO 27002 Standard audytorski oparty o wymagania stawiane audytowi. Lista zabezpieczeń organizacyjnych, które powinny zostać uwzględnione. Używany do audytowania bezpieczeństwa organizacji oraz certyfikowania w zakresie SZBI. Wytyczne implementacyjne oparte o rekomendowane dobre praktyki. Lista 133 zabezpieczeń operacyjnych, które organizacja powinna rozważyć. Używany do szacowania kompletności i spójności systemu zarządzania bezpieczeństwem organizacji.

Zadania i procesy, jakie należy realizować w związku z ustawą o ODO Jakie dane i od kogo są zbierane Cel zbierania danych Ustalenie, czy wymagana jest rejestracja zbiorów Zadania związane z rejestracją zbiorów danych Obowiązek informacyjny Wydawanie i odbieranie upoważnień do przetwarzania danych osobowych; prowadzenie ewidencji wydanych upoważnień

Zadania i procesy, jakie należy realizować w związku z ustawą o ODO Zabezpieczenie danych osobowych w formie tradycyjnej i w systemach informatycznych Stworzenie i aktualizacja dokumentacji (PBI, IZSI) Nadzór nad ochroną danych osobowych (monitorowanie zabezpieczeń); powołanie ABI Usuwanie danych

Zasady przetwarzania danych w sytuacjach dnia codziennego

Zasady przetwarzania danych w sytuacjach dnia codziennego Przetwarzanie danych osobowych poza siedzibą firmy

Zasady przetwarzania danych w sytuacjach dnia codziennego Ksero sieciowe - zasady bezpiecznego drukowania dokumentów

Zasady przetwarzania danych w sytuacjach dnia codziennego Zbyt głośne rozmowy między pracownikami

Zasady przetwarzania danych w sytuacjach dnia codziennego Pozostawianie kluczy w drzwiach

Zasady przetwarzania danych w sytuacjach dnia codziennego Bezpieczne zasady elektronicznej wymiany dokumentów

Zasady przetwarzania danych w sytuacjach dnia codziennego Właściwe ustawienie monitorów

Zasady przetwarzania danych w sytuacjach dnia codziennego Właściwe przechowywanie haseł dostępu

Zasady przetwarzania danych w sytuacjach dnia codziennego Każdorazowe wylogowanie się ze swojego konta przed opuszczeniem stanowiska

Zasady przetwarzania danych w sytuacjach dnia codziennego Niepozostawianie osób postronnych w pomieszczeniu bez nadzoru osoby upoważnionej

Zasady przetwarzania danych w sytuacjach dnia codziennego Zasady postępowania z dokumentami

Zasady przetwarzania danych w sytuacjach dnia codziennego Informacje, jakich nie powinno się udzielać w rozmowach telefonicznych

Zasady przetwarzania danych w sytuacjach dnia codziennego Zasady niszczenia dokumentów

Zasady przetwarzania danych w sytuacjach dnia codziennego Ksero dowodów osobistych

Zasady przetwarzania danych w sytuacjach dnia codziennego Zasada czystego biurka

CZY MAJĄ PAŃSTWO JAKIEŚ PYTANIA?

Dziękuję za uwagę Marcin Polit 533 641 700 marcin.polit@itauditor.pl Paulina Wyszomirska 791 478 888 paulina.wyszomirska@itauditor.pl www.itauditor.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres